Il faut faire attention à ne pas partager son QR Code en ligne. Et les médias devraient se montrer tout aussi prudents. Car une mésaventure est arrivée au Premier ministre Jean Castex, dont le pass sanitaire s'est baladé en ligne... avant d'être invalidé.

C’est un conseil qui est répété depuis des mois : il n’est vraiment pas conseillé de partager son pass sanitaire sur les réseaux sociaux. Celui-ci contient des informations personnelles, mais aussi des indications d’ordre médical, qui sont par nature sensibles. En laissant une image nette du QR Code, des individus pourraient s’en servir pour eux-mêmes ou, plus grave encore, chercher à vous nuire.

Mais que se passe-t-il lorsque l’on est une personnalité publique comme Jean Castex, dont les déplacements sont suivis par les médias, et ses faits et gestes n’échappent pas à l’œil des caméras et des appareils photo ? Même si on fait attention à ne rien partager en ligne, on peut se retrouver à la merci des autres. C’est le scénario quelque peu embarrassant qui est arrivé au Premier ministre ces jours-ci.

Une photo de l’écran du smartphone du Premier ministre

Lors d’un déplacement le 13 septembre dans un Ehpad de Clamart, dans les Hauts-de-Seine, Jean Castex s’était plié au rituel de la présentation de son pass sanitaire avant de pénétrer dans l’établissement, pour montrer qu’il fait comme tout le monde. La presse était là et un photographe a pris un cliché montrant l’écran du smartphone de Jean Castex avant une vue imprenable sur le QR Code (ou pour être plus exact, son code 2D-DOC, dont nous reviendrons ci-après sur le principe).

Jean Castex 2D-Doc
La photo qui en montrait trop. // Source : Hans Luca

Pendant quelques jours, personne n’a fait vraiment attention à l’existence de cette photo. Son auteur n’a pas estimé non plus, sur le moment, qu’il y avait un problème, puisqu’elle a été publiée sur son site web sans aucun floutage — elle a été retirée depuis, mais quelques recherches via des sites spécialisés permettent d’en retrouver la trace et de la récupérer en très bonne qualité.

C’est sur les réseaux sociaux que la suite s’est écrite : le cliché a fini par être repéré et des internautes en ont parlé, notamment sur Twitter. Ainsi, Mathis Hammel, un spécialiste en sécurité informatique, s’est emparé du sujet le 18 septembre. L’intéressé suit de près ces sujets : début juin, il avait discuté de TAC-Verif, l’application qui sert à vérifier les données du pass sanitaire, quand elle avait fait parler d’elle.

« J’ai le QR code de vaccination du Premier ministre »

« Game over, j’ai le QR code de vaccination du Premier ministre. Jean Castex, promis je l’ai obtenu de manière légale et j’en ferai pas n’importe quoi, appelez-moi si vous voulez un coup de main en cybersécurité », avait-il lancé, en accompagnant son message d’un QR Code flouté en grande partie, ainsi qu’une capture montrant en clair des éléments sur Jean Castex et son état vaccinal (type de vaccin, nombre de doses).

Il avait ensuite montré un échange de mail avec le centre français de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR), qui dépend de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), lui-même du Secrétariat général de la Défense et de la Sécurité nationale, et donc du Premier ministre. Le CERT-FR indiquait avoir vu son tweet et voulait en savoir plus.

Quelques tweets de Mathis Hammel sur le sujet.

Depuis, l’intéressé a supprimé son compte Twitter. Son message a déclenché une certaine polémique parmi des spécialistes en cybersécurité, avec des reproches sur sa mise en scène, d’aucuns lui reprochant de ne pas avoir été plus responsable dans la façon dont il a communiqué publiquement. Parmi les politiques aussi, il a été estimé que cela a été monté en épingle, ou que ce n’était, en tout cas, pas une faille.

« Le 2D-Doc exploité pour sortir les infos perso de Jean Castex venant plus que très probablement d’une photo de presse, faut être costaud pour parler de cybersécurité. Au mieux, on pourrait le qualifier d’Osint [Renseignement d’origine source ouverte, NDLR]. On est très loin d’une faille système ou appli », faisait observer le député Éric Bothorel, qui suit ces problématiques au Parlement.

A minima, une gaffe médiatique

Au-delà des problématiques que cela a soulevé sur les bonnes pratiques à avoir en matière de sécurité informatique, l’affaire s’avère aussi une gaffe médiatique : la photo n’aurait pas due être mise en ligne par le photographe ou, du moins, pas sans floutage adéquat. De même, elle n’aurait pas dû être reprise par des médias. C’est le signe que persiste encore une relative ignorance sur ce qu’il est possible de faire dire aux photos, dans les métadonnées ou le cliché lui-même.

La visibilité du code devrait s’estomper assez vite : le cliché a d’ailleurs été retiré du site du photographe et les médias ont désormais eu vent de cette affaire : là où il apparaissait une photo éditée avec une zone floutée devrait figurer à la place. Elle pourrait encore circuler en ligne, notamment sur les réseaux sociaux, mais son intérêt devrait vite se dissiper.

Nous avons d’ailleurs réussi à retrouver le cliché en question et, selon nos constatations, le QR Code visible sur la photo ne déclenche plus rien de particulier, ni dans TousAntiCovid ni dans TAC-Verif. Ce qui est par contre surprenant, c’est que le Premier ministre utilisait encore un 2D-Doc, qui est une version ancienne et délaissée du dispositif. En principe, une bascule a eu lieu pour normaliser le système au niveau européen.

Un QR Code placé sur liste noire

Quoiqu’il en soit, l’affaire devrait très rapidement s’éteindre. Libération signale que le QR Code de Jean Castex aurait été placé sur une liste noire, de façon à empêcher qu’il puisse être converti en QR Code ou lisible dans l’application TousAntiCovid ou TAC-Verif. Le Premier ministre devrait pouvoir bénéficier d’un nouveau QR Code afin de pouvoir continuer à d’accéder aux lieux où il est demandé.

Le système de pass sanitaire s’articule depuis cet été autour d’une liste noire. Cela n’a rien d’étonnant : on sait qu’il existe un effort de lutte contre la fraude aux faux pass, mais aussi au trafic de pass valides. Des amendes et des peines de prison sont prévues dans la loi pour sanctionner la production ou la détention de ces documents. Cela relève entre autres des peines de faux et d’usage de faux.

pass sanitaire qr code tousanticovid
Le Premier ministre a vu son pass sanitaire circuler en ligne. Il a été invalidé. // Source : Melvyn Dadure pour Numerama

Ainsi, la loi prévoit trois ans de prison et 45 000 euros d’amende pour faux ou usage de faux. La personne qui fabrique et utilise de faux documents risque les mêmes peines. Ce sont bien entendu des plafonds prévues par la législation. En cas de procès, les juges apprécieront au cas par cas les situations individuelles. Cependant, l’actualité a montré que les sanctions n’étaient pas pour autant bénignes.

Cette liste noire n’est pas tout à fait nouvelle et son existence et de fait cohérente avec cette politique anti-faux pass. Le 8 août, Cédric O, qui est en charge des sujets relatifs au numérique au sein du gouvernement, indiquait « que ceux qui présentent un pass qui n’est pas le leur encourent de fortes amendes. Les pass abusivement utilisés seront placés sur liste noire et rendus inutilisables. »

En vigueur depuis ce printemps, le pass sanitaire suit un calendrier de fonctionnement qui l’emmène jusqu’au 15 novembre 2021. Le dispositif devrait toutefois être prolongé pour une durée encore indéterminée : il est prévu un projet de loi, qui sera présenté en Conseil des ministres le 13 octobre, pour décaler la date de fin. Le texte devrait être approuvé par le Parlement pour entrer en vigueur.

Partager sur les réseaux sociaux

La suite en vidéo